本文从攻击实现角度,对拖库、撞库攻击进行简单分析;从安全防护设计、建设运维角度,给出针对这两种攻击实践总结的安全防御40条策略。希望本文能够抛砖引玉,给互联网网站开发、设计、运维的IT工作人员扩展思路,从而提高互联网网站防范信息泄露的综合安全能力。
什么是拖库、撞库?拖库、撞库名词并无标准权威的定义,但实际理解起来却是极易接受的。
拖库就是指黑客通过各种社工手段、技术手段将数据库中敏感信息非法获取,一般这些敏感信息包括用户的账号信息如用户名、密码;身份信息如真实姓名、证件号码;通讯信息如电子邮箱、电话、住址等。
撞库是黑客通过收集互联网已泄露的拖库信息,特别是注册用户和密码信息,生成对应的字典表,尝试批量自动登录其他网站验证后,得到一系列可以登录的真实账户。拖库、撞库如何实现?拖库实现起来比撞库复杂得多,手段和方法也更加丰富多样。
从实践角度,可以分为技术流拖库和社工流拖库。常见的技术流以入侵、攻击为主实现拖库,如远程*载下**数据库,利用Web Code 漏洞、Web Services 漏洞、服务器漏洞,挂马、病毒、木马后门等;社工流则以欺诈、网站仿冒、钓鱼、重金收购、免费软件窃取等为主要手段实现拖库。
再来看一下撞库,存在撞库的根本原因是很多互联网用户在不同网站使用的是相同的账号密码,因此攻击者可以通过获取用户在A网站的账户从而尝试登录B网站。高水准的撞库攻击不易发现,实现起来需很高的技术能力,因此成本较高,当前多数的撞库还是以单脚本登录验证、分布式脚本登录验证,自动代理登录验证,甚至人肉验证等方式来现实。如何能够降低拖库与撞库风险?
对于拖库、撞库攻击防范亦如APT攻击一样,非一朝一夕一技一法就可解决,需要安全攻与防的综合能力、不同维度的立体保障,才能做到较好的防范效果。具体内容笔者后续会单独讲。
拖库、撞库安全防御策略
笔者经过个人思考以及寻求多方安全专家的意见,参考互联网各类有关拖库、撞库技术文章,结合上述文中提到的各种场景、安全设计等措施,整理出下列安全防御40条策略供读者参考、学习并提出您的宝贵意见。
第1 条禁止数据库在互联网裸奔,防范远程*力暴**猜解、非授权访问及远程登录。
第2 条禁止管理员账号启动数据库,建立数据库自己的低权限账号运行。
第3 条及时安装、升级数据库补丁、做好版本管理、备份/ 灾备管理,定期销毁备份的数据。
第4 条修改默认数据库安全配置,特别是账号口令、默认路径页面等。
第5 条设置数据库内帐户权限、实例权限、表权限等,保证权限最小化。第6 条删除无用的数据库实例文件、说明文件、安装文件、注释文件等。
第7 条敏感值(密码)的存储务必加密,并保障其足够强壮。
第8 条建立数据库读、写、查询的监控黑名单、白名单,并实时监控告警。
第9 条在数据库中构造陷阱库、陷阱表、陷阱字段、陷阱值,便于监控和发现入侵。
第10 条注册真实的账号用于监控,标记或跟踪。第11 条严格控制真实数据的测试应用,务必进行脱敏或模糊处理。
第12 条数据库管理员与系统管理员权限分离、职责分离。
第13 条设置系统内的文件保护,防非法拷贝,或使用专用工具防拷贝。
第14 条及时安装、升级操作系统补丁、做好帐号管理,避免弱口令。
第15 条制定系统内部的口令更改策略,并定期执行。第16 条设置操作系统和数据库的IP 访问控制策略,避免非法访问。
第17 条检测木马、后门、webshell 连接尝试,诱导并阻断。
第18 条启用数据库、操作系统日志审计,设置粒度为全部/ 部分记录。
第19 条将日志审计中的敏感信息使用*** 屏蔽、替换或隐藏。
第20 条将登录认证日志单独设置日志接收平台,便于细粒度的专项分析。第21 条启用密码复杂度的检测,加强用户的密码强度和长度。
第22 条对已泄露的账号,冻结账户并提醒用户更改。
第23 条制定策略,使用友好的方式提醒用户定期更改密码并强制执行。
第24 条制定灵活的验证码策略,平衡用户体验与复杂度。
第25 条记录并监控每个账号的登录IP 地址,并与其他信息关联分析。第26 条记录并监控每个账号的登录时间习惯,并与其他信息关联分析。
第27 条记录每个账号的物理登录地点坐标,并与其他信息关联分析。
第28 条关联分析同一个账号的登录渠道习惯和特征,综合终端、平板和手机等渠道。
第29 条记录并联动分析多个登录请求之间的特征关联。
第30 条检测登录cookies、会话的异常。第31 条识别同一IP 的多次登录请求、短时间的频繁登录请求及多账号的一次登录请求。
第32 条识别登录终端、服务器端推送的唯一参数标识,作为身份认证的一部分。
第33 条建立动态IP信誉库(白名单)和恶意IP库(黑名单),查询、记录、监控并阻断访问者IP 请求。
第34 条使用公共的IP 信誉库、恶意IP 库,识别已记录的恶意攻击。
第35 条识别不符合规范的登录请求、不完整的登录请求、无交互的登录请求。第36 条监控登录认证的横向*力暴**尝试,同一密码,不同账号的情况。
第37 条收集并将常用自动化攻击工具指纹特征转化为监控、阻断规则。
第38 条根据不同场景设置分级、分步、自动化的监控、阻断规则。
第39 条设置各种蜜罐,设计参数陷阱、页面陷阱、伪造请求、伪造功能。
第40 条记录并检测登录交互前后的指纹变化,如鼠标窗口的变化,点击变化等。
精彩内容请点击“阅读原文”
请点击屏幕右上方“…”
关注绿盟科技公众号
NSFOCUS-weixin
↑↑↑长按二维码,*载下**绿盟云APP